Escândalos empresariais e a crise financeira global aumentaram o envolvimento dos gestores de riscos em temas de compliance e governança corporativa.

Ao mesmo tempo, os profissionais da área estão tendo que aprimorar suas habilidades em áreas como a tecnologia da informação a fim de enfrentar um volume crescente de ameaças contra as suas empresas.

O resultado é que a profissão está ganhando cada vez mais influência no mundo corporativo, segundo um estudo realizado pela seguradora ACE com profissionais da gestão de risco na Europa, Oriente Médio e África.

De acordo com o estudo, os gestores de risco têm cada vez mais voz dentro das empresas quando o conselho vai tomar decisões estratégicas, devido a uma percepção maior entre os executivos chefes de que é preciso gerir com cuidado os riscos envolvidos.

Entre os mais de 500 executivos de gestão de riscos entrevistados, 71% afirmaram que possuem hoje mais influência em suas empresas que três anos atrás. No que se refere a  decisões estratégicas, 78% dizem ter maior participação hoje do que em 2012.

“Em um mundo em transformação, não se espera mais que os gestores de riscos apenas monitorem; espera-se que eles liderem”, afirma Andrew Kendrick, o presidente da unidade europeia da ACE, na introdução do estudo.

Por outro lado, ele também diz que os mesmos fatores fazem com que a indústria de seguros tenha de se adaptar e desempenhar um papel que vai além do fornecimento de seguros de bens e responsabilidades aos seus clientes.

Tendências
A pesquisa destaca algumas tendências que, na visão dos participantes, estão definindo o futuro da profissão.

A primeira é a necessidade de aprender a trabalhar na economia digital. Os gestores de risco cada vez mais são chamados não só a lidar com ameaças como os cibercrimes, mas também a avaliar os possíveis riscos criados pela introdução de novas tecnologias e as oportunidades de negócios resultantes.

Outra tendência é que a profissão está ganhando um viés cada vez mais analítico, e os gestores de riscos precisam ser capazes de agregar e analisar dados e informações. A obtenção de dados confiáveis sobre os riscos enfrentados pela empresa continua, porém, sendo um desafio, segundo o estudo.

A capacidade de fomentar inovação é outra habilidade que os gestores de riscos precisam desenvolver, uma vez que estão sendo chamados a adotar métodos sofisticados em sua rotina diária e a prestar suporte a outras áreas de negócio que passam por transformações.

Tudo isso requer que os gestores de risco adquiram talentos que vão além do escopo tradicional da profissão, como o domínio de tecnologias digitais e a capacidade de se comunicar com os CEOs e CFOs de suas empresas.

Eles também devem pensar como “futuristas”, mantendo o foco na direção que a empresa deve tomar no futuro, argumenta o estudo.

O estudo afirma que a profissão segue firme na linha da adoção de certificados que comprovem a capacidade dos gestores de riscos de desempenharem a função com a qualidade requerida. Um exemplo é o certificado pan-europeu que está sendo introduzido pela Ferma, a federação de associações de gestão de riscos europeias, que realizará seu congresso bi-anual na próxima semana.

Em geral, o estudo conclui que a gestão de riscos está evoluindo e ganhando espaço nas empresas, especialmente em áreas como compliance e governança corporativa.

“Um dos fatores que estão nos impulsionando no momento é a integração das funções de governança, em que a gestão de riscos, controles internos, compliance, gestão de crises e outras áreas estão convergindo”, disse Dieter Schmitt, gerente de Riscos, Compliance e Seguros na empresa de artigos esportivos Adidas, aos autores do estudo.

Clique aqui para ver o estudo completo, em inglês.

Considerada a mais grave em 84 anos, a crise hídrica mudou a rotina dos gestores de risco de empresas do setor elétrico, fortemente impactadas pela falta d’água.

Segundo profissionais da área ouvidos pela Risco Seguro Brasil, o aumento das variáveis de risco trazidas pela crise aumentou a demanda de trabalho, além de torná-lo mais minucioso — tudo para mitigar ou mesmo eliminar fatores que possam agravar ainda mais a situação.

Outro resultado da crise, porém, é que os gestores de risco estão mais envolvidos com a tomada de decisões dentro de suas empresas.

“A crise hídrica ampliou a rotina do gestor de risco”, disse Marcia Santos Ribeiro, especialista em seguros da Light.

“A restrição de recursos hídricos nas principais bacias contribuiu na redução de água para operação do sistema hidrotérmico, e questões estruturais do setor encareceram a energia elétrica, impactando a sustentabilidade social, econômica e ambiental da operação.”

A falta d’água, no entanto, não é o único componente deste período crítico.

Segundo Valéria Conrado Leite, gerente de Seguros, Garantias e Previdência da AES Brasil, questões políticas, regulatórias e econômicas agravam a situação e “vêm frustrando investimentos” na área.

“As distribuidoras, em especial, quase ficaram sem fôlego para continuar porque o caixa ficou muito apertado”, disse ela. “O cenário vinha crítico desde 2012, diante de tantas medidas equivocadas do governo, que hoje resultam em aumentos absurdos nas tarifas de energia elétrica.”

Com tantas variáveis complexas, o papel do gestor de risco ganhou mais relevância.

“Fortaleceu-se a cautela, e a análise de riscos tornou-se chave para as empresas tomarem decisões”, disse Leite.

“O gestor de risco está hoje sentado nas mesas de decisões de suas corporações. É um patamar importante para o crescimento e o amadurecimento da indústria brasileira.”

Esse cenário tende a prosseguir no setor elétrico nos próximos anos. “O crescimento populacional, a expansão do consumo e as mudanças climáticas manterão a necessidade de acompanhamento”, afirmou Ribeiro.

Ribeiro e Leite são membros do comitê do setor elétrico da Associação Brasileira de Gerência de Riscos (ABGR).

Na prática
Um dos efeitos da crise atual foi o de aumentar o trabalho interdisciplinar nas empresas, que “cresceu fortemente”, segundo a especialista da Light. Trata-se de um movimento fundamental para quem tem de administrar riscos em várias frentes.

Ribeiro lembrou que a crise obrigou as empresas a encontrar com rapidez resultados eficientes. “Há necessidade de aglutinar os conhecimentos e experiências na mesma direção”, disse ela. “O objetivo é dar celeridade aos processos em busca de criatividade e melhores resultados.”

De acordo com Leite, as decisões hoje não estão sendo avaliadas apenas “sob o aspecto do investimento, mas também sobre o conhecimento do risco a tomar”.

Para ela, o cenário de crise criou oportunidade para os profissionais mostrarem seus conhecimentos e atuarem como líderes nas suas empresas.

“É um termômetro para demonstrar que a cultura de risco está crescendo no Brasil”, afirmou. “Mas é certo que temos ainda muito o que avançar e aprender.”

Ribeiro reforça essa linha.  “A gestão de risco tem atuado mais enfaticamente neste período”, disse ela.

“É preciso se antecipar aos fatos e trabalhar com consonância com as políticas das empresas. Buscar produtos de seguros que possam ajudar a mitigar os impactos ambientais e contribuir com o ‘loss control’ faz sentido, mas ainda há muito a fazer diante da realidade brasileira.”

Outro reflexo prático da crise é que melhorou o monitoramento dos controles do uso de água e energia por parte das empresas.

Origens
O intenso trabalho de reação à crise ocupa bastante espaço na rotina dos gestores de risco, mas eles não esquecem a origem do problema.

A falta d’água hoje é grave — reservatórios importantes operam hoje abaixo do chamado nível morto —, mas não se pode atribuir a crise apenas a este fator, dizem as especialistas.

“Em São Paulo, o Tribunal de Contas do Estado afirmou que a culpa foi do governo, que não fez o planejamento adequado e não soube articular o problema”, afirmou Leite, lembrando que a possibilidade de falta d’água é antiga.

“Disputas políticas fizeram o cenário ficar mais crítico do que se imaginava. Antever o problema é papel principalmente do governo, que tem o poder sobre os recursos nas mãos. Vamos pagar a conta pela arbitrariedade dos nossos representantes.”

Segundo a gestora da AES, as indústrias de modo geral não tinham um plano B para a crise hídrica. E agora muitas estão enfrentando sérias dificuldades em razão da escassez de água e aumento das tarifas de energia.

“A falta de políticas públicas assertivas e de planejamento contribui muito para o agravamento da crise”, disse Leite.

Agora, no entanto, a direção parece ter mudado. “Vemos empresas contratando consultorias para auxiliar em técnicas de economia de água e luz. Creio que essa será uma tendência daqui para frente “, disse Leite.

“Os problemas sempre existirão”, completou Ribeiro. “O que precisa ser feito é criar e ampliar regulamentos, políticas e cultura que propiciem o comedimento de uso dos recursos. Sem organização e disciplina, a sobrevivência não será tarefa fácil.”

Transmissão
O impacto da crise ocorre de maneira diferente para os diferentes tipos de empresas do setor elétrico, que é dividido em geradoras, distribuidoras e transmissoras de energia.

Um executivo de uma empresa de transmissão de energia, que pediu para não ser identificado, disse à reportagem que para o setor dele a crise hídrica não causou danos. Com menos geração de energia, as linhas de transmissão estão trabalhando com folga.

Houve aumento de demanda, no entanto, num lado positivo: novas linhas de transmissão para PCHs (Pequenas Centrais Hidrelétricas).

“Há necessidade de termos linhas de transmissão em ‘todos os cantos’ para escoar a energia gerada por elas”, disse o executivo. “As equipes de projetos têm trabalhado muito nisso.”

Mesmo assim, o setor também enfrenta problemas por falta de planejamento. “O país peca em transmissão há vários anos”, afirmou. “Acompanhamos a operação de usinas eólicas sem a devida linha de transmissão para escoamento da energia. Tudo feito sem planejamento.”

Para ele, o órgão regulador — a Agência Nacional de Energia Elétrica — também deixa a desejar. “A Aneel se tornou um órgão político, sem técnicos; as decisões se tornaram financeiras.”

A quase totalidade dos 20 mil MW de energia elétrica que devem entrar no sistema entre 2013 e 2018 no Brasil serão provenientes das chamadas usinas a fio d’água. Por um lado, o fato de elas operarem sem grandes reservatórios de água dribla uma série de problemas ambientais. Por outro, o sistema fica mais volátil.

Para Carlos Alberto Oliveira Pinto, membro do comitê do setor elétrico da ABGR, esse é um dos principais desafios de gerenciamento de riscos dos próximos anos.

“A sazonalidade de chuvas altera profundamente as condições para produção de energia”, diz ele. “Essas usinas possibilitam a geração de grande quantidade de energia em períodos chuvosos; nos períodos secos, a produção é drasticamente reduzida.” A oscilação dificulta o planejamento energético, avalia o gestor.

De acordo com Oliveira Pinto, as mudanças climáticas exigem diversificação das fontes de energia. E com a participação cada vez mais acentuada de hidrelétricas a fio d’água, eólicas, biomassa e solar, o uso de usinas térmicas (mais caras e poluidoras) é necessário para garantir a estabilidade do abastecimento.

Com a escassez nos reservatórios, as térmicas são também acionadas para poupar água nos períodos de seca.

“O país necessita de investimentos em ações estruturais para minimizar impactos, após a ocorrência de qualquer grande evento”, avalia Oliveira Pinto.

“Teremos grandes desafios pela frente, sendo necessária a diversificação de fontes de energia. As mudanças climáticas devem impactar de forma substancial a tomada de decisão dos governantes e com isso diminuir os impactos para a economia.”

O escândalo dos carros a diesel fabricados pela Volkswagen colocam em evidência uma das mais sérias e menos tangíveis ameaças enfrentadas pelas empresas hoje em dia: o risco de reputação. E também a necessidade de implementar planos de emergência para gerir crises deste tipo.

A revelação de que a empresa alemã trapaceou durante testes de controle de emissão de gases nos Estados Unidos terá consequências legais e econômicas capazes de causar perdas estimadas entre US$ 10 bilhões e US$ 25 bilhões, segundo o banco suíço Julius Baer.

Além disso, as ações da Volkswagen chegaram a perder 40% de seu valor após a revelação do escândalo pela EPA, a agência ambiental norte-americana.

Ainda mais duradouro, porém, pode ser o estrago causado à reputação da companhia nos Estados Unidos e no resto do mundo após décadas construindo uma imagem corporativa.

Na última semana, jornais, sites de internet e noticiários de TV abriram espaço para consumidores e analistas expressarem seu desgosto com as práticas da montadora — não faltaram candidatos para assumir o microfone.

“Havia uma época em que a Volkswagem era uma empresa que nos legou carros icônicos como o Beetle e a microônibus flower-power”, disse Ed Mierzwinski, o diretor do Programa de Consumidores da US PIRG, uma influente federação de ONGs de ativismo local. “Mas agora Volkswagen é apenas uma grande trapaceira.”

Não só consumidores expuseram sua insatisfação. Os investidores ressaltaram que a imagem da empresa alemã sairá severamente prejudicada pelo escândalo.

“Os resultados [do grupo Volkswagen] também serão afetados, já que a percepção das marcas VW e Audi deve ser severamente danificada”, afirmou Patrik Lang, chefe de área de pesquisa de ações no Julius Baer. Ele acredita que o impacto será sentido na forma de menor capacidade de definir os preços dos automóveis (ou seja, na necessidade de dar descontos para convencer os clientes a comprar seus carros) e perda de mercado.

Já a Vigeo, uma agência de rating que avalia a governança corporativa das empresas, rebaixou a nota da Volkswagen, em boa medida devido à mudança de percepção que se tem da empresa como boa cidadã corporativa.

“Estes eventos, de uma severidade extrema, sublinham como é urgente levar em conta as opiniões e os escores de rating social na avaliação de performance dos negócios”, disse Fouad Benseddik, diretor da Vigeo.

Gestão de crise
Comentários como esses, que foram amplamente reproduzidos pela mídia norte-americana e internacional, constituem o pesadelo de qualquer diretor de marketing que se preze.

Mas também ajudam a mostrar a importância para as empresas de estabelecer planos para reagir imediatamente a uma crise de reputação dessas proporções.

Em um mundo em que as notícias fluem sem interrupção a uma velocidade arrasadora, a velha tática de negar até o final e acionar o advogado tem poucas chances de evitar a deterioração da marca da empresa em caso de má conduta.

O problema já é bastante sério quando as alegações não são verdadeiras e podem ser facilmente negadas. No caso de irregularidades comprovadas, a reação precisa ser coerente, rápida e consistente, de acordo com especialistas.

“A reputação de uma empresa está baseada em confiança”, diz Kate Brader, diretora da unidade americana da Regester Larkin, uma consultoria de imagem baseada em Londres.

“Confiança está relacionada com o que as pessoas podem fazer pela empresa, com a possibilidade de elas comprarem suas ações, defenderem suas posições junto ao governo, ou mesmo adquirirem seus produtos.”

A principal preocupação de um sistema de gestão de crise de imagem deve ser portanto o restabelecimento da confiança que a opinião pública tinha na empresa antes do evento.

Uma das formas de fazer isso é deixar claro que a organização não aceita os comportamentos denunciados e está fazendo o possível para punir os responsáveis.

Em casos extremos, é o efeito que se quer passar com a demissão do principal executivo, como no caso do afastamento de Martin Winterkorn do cargo de CEO da Volkswagen. Ou as cenas de humilhação pública às vezes protagonizadas por altos dirigentes de empresas japonesas acusadas de más práticas.

Transparência
A gestão do problema, no entanto, também passa por adotar uma postura de humildade, admitir os erros e enfatizar a disposição da empresa de corrigir os erros cometidos.

“Especialmente em casos de suposta má-fé, fraude ou quebra de confiança, a empresa precisa reagir de forma transparente e se engajar com o tema”, afirma Brader.

Ela observa que uma postura apropriada não precisa ser improvisada no arrepio da crise. Uma empresa organizada quase nunca é surpreendida pela publicação de supostas irregularidades, pois terá sido capaz de ter conhecimento prévio, por meio de canais com as autoridades de investigação, denúncias internas e monitoramento constante da mídia e das redes sociais.

A preparação anterior à eclosão da crise também supõe o cultivo de relacionamento com meios de comunicação-chave para seus negócios, explica Brader.

Mãos à obra
Uma vez que estoura a crise, é necessário realizar uma rápida avaliação do potencial dano que ela pode causar. “Eventos de alta gravidade exigem a mobilização de recursos extraordinários e o envolvimento dos principais líderes da empresa”, diz a especialista.

O próximo passo é a definição da equipe que vai lidar com a crise. Especialistas como a consultora americana Melissa Agnes recomendam que as empresas designem uma equipe que fique em alerta permanente para o caso de uma crise de imagem.

Isso requer escolher, entre seus executivos e funcionários, um líder de gestão de crises que tenha total autonomia para tomar decisões operacionais.

Esta pessoa não deve ser necessariamente o CEO da empresa. Um dos objetivos de indicar um gestor da crise com poder de decisão é justamente liberar o CEO para tomar medidas de caráter estratégico.

Outros membros incluem um analista de mídia e redes sociais, um especialista na elaboração de conteúdos para documentar o caso e um gerente de relações com as comunidades afetadas pelos eventos.

Ademais, funcionários da empresa com conhecimentos especializados devem ser engajados de acordo com a natureza da crise. Se os aspectos legais são os mais relevantes, membros da equipe jurídica deve ser chamada a participar. Se são aspectos técnicos, é bom ter um engenheiro ou químico por perto a fim de evitar erros na comunicação.

“O mais importante é que os responsáveis por lidar com a crise tenham a capacidade de adotar soluções criativas na medida em que o tema de desenvolve, especialmente nos mais altos níveis hierárquicos da empresa”, diz Brader.

A comunicação também deve ser adaptada a cada um dos grupos de stakeholders, ou pessoas que têm um interesse na empresa. A forma de se comunicar com os acionistas não é a mesma com que se fala com os funcionários, políticos, supervisores ou ONGs, explica Brader. A mensagem, porém, deve ser a mesma para todos.

Começar de novo
Um desafio final é quando termina o trabalho de apagar o incêndio e quando começa o seguinte, também vital, de reconstruir a imagem da empresa.

Brader afirma que a situação ideal é que investimentos de marketing na reconstrução da imagem comecem a ocorrer logo que a crise aconteça, ao mesmo tempo em que se tenta evitar que o problema se agrave. Mas são poucas as companhias que possuem os recursos necessários para tanto.

Os custos envolvidos na gestão de crises de imagem podem ser bastante elevados. Há coberturas de seguro para risco de reputação disponíveis no mercado internacional, mas seu uso ainda não está amplamente difundido.

É importante, porém, dar início a este trabalho o mais rapidamente possível. A reconstrução da imagem de uma empresa é uma tarefa que pode durar bastante tempo, até mesmo vários anos, se há pendências legais envolvidas, observa Brader.

De fato, uma nota divulgada nesta semana pelo Deutsche Bank lembrou que, nos anos 80, carros da Audi apresentaram problemas de aceleração nos Estados Unidos.

Depois disso, foi preciso passar mais de uma década para que a empresa, que também faz parte do grupo Volkswagen, retomasse os volumes de venda anteriores à revelação do problema.

O trabalho do gestor de risco está ganhando complexidade, e os profissionais da área adquirem responsabilidades cada vez maiores dentro das empresas. Junto com elas, do mesmo modo, estão vindo gordos salários.

Essas são algumas conclusões que podem ser tiradas de uma pesquisa feita com gestores de risco na França, um dos mercados onde a profissão está mais avançada em todo o mundo.

A pesquisa, realizada a cada dois anos pela Association du Management des Risques et des Assurances de l’Entreprise (AMRAE), a associação francesa de gerentes de riscos, traça o retrato de uma função que está tendo que evoluir rapidamente a fim de se adaptar aos desafios enfrentados pelas empresas na economia globalizada.

Por exemplo, os gestores de risco estão tendo que aprender a lidar com assuntos espinhosos, como ataques cibernéticos e fraudes financeiras. Mais do que nunca, a profissão está se expandindo para além de seu tradicional campo da pura compra de coberturas de seguros para abranger um leque de riscos estratégicos vitais para a sobrevivência da companhia.

Um exemplo, bastante comentado hoje no Brasil, é o compliance. “Notamos que é uma função que cada vez mais entra no perímetro de responsabilidades do gestor de riscos”, disse Julien Mueller, gerente de Consultoria em Riscos e Seguros da PwC na França.

Para completar, os chefes estão cada vez mais de olho neles. Na França, como em outros países onde a profissão está mais desenvolvida, um número crescente de gestores de risco respondem diretamente aos seus CEOs ou CFOs.

Salários competitivos
O outro lado da moeda é que o mercado reconhece que o gestor de riscos é um profissional altamente qualificado e difícil de encontrar, e os salários refletem esta realidade.

A pesquisa publicada pela AMRAE, e que foi realizada pela consultoria PwC, mostra que o salário médio de um gerente de risco na França atinge a uma média de € 108 mil por ano para os gestores de riscos que são chefes de seus respectivos departamentos.

Isso equivale a uma remuneração de cerca de R$ 490 mil ao ano na média para os cabeças de departamentos de gestão de riscos.

Mesmo os gerentes de riscos com menor ascendência burocrática recebem salários que podem ser considerados bons. Em média, um profissional da área que não é chefe ganha € 84 mil, ou R$ 380 mil, anuais. Elementos variáveis da remuneração não estão incluídas em nenhum dos dois números.

A PwC entrevistou 188 profissionais membros da AMRAE, que aglutina sobretudo gerentes de riscos de grandes empresas francesas ou multinacionais – que são justamente as que tendem a possuir departamentos especializados na área.

Mundo masculino
Outras conclusões da pesquisa que até certo ponto podem ser extrapoladas para outros mercados indicam que o gestor de risco típico é um homem com idade entre 46 a 55 que chegou ao cargo após ter feito carreira em outras áreas de sua empresa.

As mulheres representam 41% do universo pesquisado, e apenas 28% dos profissionais que ocupam cargos de chefia, revelando que uma significativa tendência pró-masculina persiste na profissão.

As formações acadêmicas mais comuns para os gestores de riscos franceses são, na ordem, as escolas de negócios, direito e engenharia ou outras áreas técnicas. Mas um grupo crescente de profissionais mais jovens estão entrando no mercado com formações específicas em gestão de riscos ou seguros.

A pesquisa também encontrou um aumento da proporção de profissionais que tratam tanto da compra de seguros quanto da implementação de programas de gestão de riscos global, ou ERM na sigla em inglês.

Tais profissionais tendem a ocupar funções mais elevadas nas hierarquias das empresas, comparação com os diretores de seguros, e estar mais envolvidos com outras áreas como a gestão de crises e os controles internos. A conclusões confirmam tendência nos países desenvolvidos de crescimento do ERM no seio das empresas.

Entidades como a AMRAE vêm insistindo nos últimos anos que os gestores de riscos se mantenham em permanente processo de aperfeiçoamento a fim de aprender a gestionar temas como os ataques cibernéticos e compliance, que cada vez mais entram no seu escopo.

Uma das prioridades deve ser adquirir um profundo conhecimento dos fenômenos financeiros que acarretam riscos para suas empresas. A pesquisa mostra por exemplo que, na França, um risco emergente para o setor é o das fraudes financeiras.

“A educação financeira é fundamental para o gestor de riscos”, disse François Malan, vice-presidente da AMRAE. “As fraudes hoje são um tema de grande importância para a profissão.”

A pesquisa se chama Barômetro do Gestor de Riscos 2015 e sua versão em francês pode ser acessada aqui. Em outubro estará disponível uma versão em inglês do levantamento.

O Brasil é o quarto país que mais sofre prejuízos com crimes cibernéticos, de acordo com uma seguradora alemã.

Um relatório elaborado pela Allianz Global Corporate & Specialty (AGCS) afirma que a média anual de perdas causadas por ataques cibernéticos no país é de US$ 7,7 bilhões. Somente Estados Unidos (US$ 108 bilhões), China (US$ 60 bilhões) e Alemanha (US$ 59 bilhões) sofrem mais com o problema.

A seguradora alerta no documento que a tendência é que os custos dos riscos cibernéticos tendam a aumentar devido à crescente sofisticação dos criminosos e a uma maior frequência dos ataques. De acordo com a consultoria PwC, 43 milhões de ataques foram reportados no ano passado em todo o mundo, o que representa um número superior a 100.000 por dia.

“Há apenas 15 anos, os ataques cibernéticos eram razoavelmente rudimentares, e normalmente eram realizados por hackers ativistas,” afirma Chris Fischer Hirs, o CEO da AGCS, no relatório. “Mas, com o incremento da interconectividade e da globalização e a comercialização do crime cibernético, tem havido uma explosão tanto da quantidade quanto da severidade dos ataques.”

Por esse motivo, gerentes de risco de todo o mundo estão cobrando de seus subscritores a oferta de novas apólices de seguros focados especificamente nos riscos cibernéticos.

Durante vários anos, compradores reclamaram que as coberturas existentes são demasiado caras e pouco abrangentes. Gestores de risco têm observado melhorias nas apólices ofertadas recentemente, mas ainda são poucas as empresas que compram estes produtos, especialmente fora dos Estados Unidos.

Crescimento acelerado
O mercado global de seguros cibernéticos chega hoje a US$ 2 bilhões, com os Estados Unidos representando 90% do volume de prêmios, segundo a AGCS.

A seguradora alemã espera, porém, que o crescimento do setor seja bastante acelerado, atingindo US$ 20 bilhões em um período de dez anos. Já a PwC estima em um estudo que o mercado hoje chegue a US$ 2,5 bilhões, tamanho que deve triplicar até o final da década.

Isso porque os danos causados por um ataque podem ser consideráveis. Em média, o custo de um roubo bem-sucedido de dados de uma empresa chegam a US$ 3,8 milhões, segundo a AGCS. Somente o roubo de dados pessoais de clientes da varejista americana Target, no ano passado, causou mais de U$$ 100 milhões em perdas para a empresa.

Mas a PwC observa que muitas seguradoras estão relutando em oferecer tais apólices porque o risco ainda é pouco compreendido e há uma escassez de dados sobre a sua ocorrência, dificultando a precificação.

Pelos mesmos motivos, as coberturas já existentes são caras em comparação com outros seguros de bens e responsabilidades, ademais de trazerem limites insuficientes e um grande número de exclusões.

Hoje, a proteção máxima que uma empresa pode obter do mercado de seguros é de US$ 500 milhões, mas mesmo a maioria das grandes corporações não consegue limites superiores a US$ 300 milhões.

Privacidade
No Brasil, apesar da dimensão do problema, a oferta ainda é escassa. A Allianz, por exemplo, já oferece seguros contra o risco cibernético nos mercados globais, mas ainda não comercializa o produto no Brasil. A estimativa é introduzir a cobertura no ano que vem.

A empresa alerta no relatório que a legislação sobre privacidade e proteção de dados pessoais tende a se tornar cada vez mais rígida em todo o mundo, acentuando um dos principais riscos enfrentados hoje pelas empresas.

Em países como Estados Unidos, Austrália, Cingapura e Hong Kong, regras mais estritas já são uma realidade, enquanto que a União Europeia está caminhando rumo a uma legislação comum para todos os países-membros.

Isso significa que as empresas estão cada vez mais expostas a sofrer vultosas multas, além dos prejuízos de reparação dos danos, caso criminosos consigam roubas informações privadas de seus clientes.

Como resultado, empresas que lidam com grande volume de dados de clientes, como varejistas e provedores de serviços de saúde, estão os principais compradores de seguro cibernético no mundo.

Um trilhão de alvos
Outros riscos ligados aos ataques cibernéticos são a interrupção das atividades, o roubo de propriedade intelectual e extorsão.

Como a extensão do risco cibernético ainda está sendo compreendida, as ameaças podem ter origens inesperadas. Por exemplo, segundo o relatório, hackers podem se aproveitar das mudanças por que passam os sistemas de informação de empresas que estão se fundindo para buscar vulnerabilidades durante o processo de integração de tecnologias.

A ameaça é intensificada pela crescente interconectividade dos negócios, que faz com que os riscos cibernéticos possam atingir uma empresa não só diretamente, mas também através de sua cadeia de suprimentos e clientes.

Para completar, a chamada “internet das coisas” faz com que os alvos de possíveis ataques cibernéticos estejam basicamente em qualquer lugar. De acordo com a Allianz, em 2020 deve haver mais de um trilhão de equipamentos conectados à internet, desde computadores e telefones celulares até automóveis e eletrodomésticos.

Especialistas acreditam que os prejuízos causados por crimes cibernéticos podem ser significativamente maiores do que o que sai na imprensa, já que muitas empresas relutam em tornar público que foram alvos de ataques.

Clique aqui para descarregar o relatório da AGCS em inglês.

Clique aqui para ler o estudo da PwC.

Os modelos matemáticos usados para analisar e quantificar riscos de desastres hoje no Brasil não são mais suficientes frente aos desafios do país e dificultam a alocação de capital para o mercado de seguros.

A avaliação é de Moacyr Duarte, pesquisador da Coppe, o centro de pesquisas em engenharia da Universidade Federal do Rio de Janeiro, que participou de um debate sobre riscos emergentes durante o 7º Conseguro, realizado em São Paulo entre os dia 15 e 17 de setembro.

Para Duarte, que trabalha com gerenciamento de riscos para a prefeitura do Rio de Janeiro, os modelos de representação matemática baseados no modelo binário (“de respostas sim ou não”) não são mais suficientes.

“O chek list não funciona mais”, disse ele. ” Não adianta mais termos a foto [do problema], precisamos de um filme.”

Duarte se referia ao enorme volume de dados envolvidos em cada situação, em termos de avaliação de riscos de desastre.

Nada de capital
Com os modelos com que se trabalham hoje, afirmou ele, o resultado das avaliações de riscos é precário e pouco eficiente.

“A resposta vai ser extremamente conservadora e vai se afastar do objetivo porque não se vai enxergar [o problema]”, observou. “O modelo de cálculo é ruim.”

Para o especialista, sem que os modelos matemáticos sejam aprimorados, não vai haver um aporte de capitais que poderiam alavancar a capacidade de seguros no setor.

“Não conseguiremos aporte de grandes capitais sem que ocorra uma sofisticação dos cálculos”, afirmou. “Ninguém coloca dinheiro sem um cálculo muito preciso e bem explicado por trás.”

Como exemplo, ele citou a situação de algumas favelas no Rio de Janeiro, onde modelos tradicionais de avaliação de riscos apontam que toda a região de uma comunidade está exposta ao risco de desastres.

Um levantamento mais específico, no entanto, mostrou uma outra realidade. “Só cerca de 10% das moradias estão efetivamente sob risco”, afirmou ele. “A maioria é passível de seguro, mas está fora do mercado. Se continuarmos com o velho parâmetro, vamos negligenciar isso tudo.”

Resseguro
Outro participante do painel, Rodrigo Botti, CFO e COO da resseguradora local Terra Brasis, considera que uma maior participação do mercado de capitais é fundamental para desenvolvimento dos seguros contra catástrofes no Brasil.

Trata-se de um recurso já bastante utilizado nos Estados Unidos e Japão, mas ainda não trabalhado no Brasil, disse ele.

Botti vê a possibilidade de que aportes de capitais sustentem uma maior proteção para os incidentes mais comuns no país, como as secas e as inundações.

Os exemplos internacionais mostram, por exemplo, a implementação de sistemas de proteção ligados ao preço do combustível.

“Poderíamos ter coisas similares contra apagão, desmoronamentos e seca”, disse ele.

A Terra Brasis faz alguns estudos de mapeamento de desastres naturais no Brasil e disponibiliza os resultados para o mercado.

Botti lembrou que os desastres que costumam atingir o país são muito diferentes dos que ocorrem com maior frequência no resto do mundo, como os terremotos e furacões.

Se depender da legislação e da capacidade da polícia em resolver crimes cibernéticos, o Brasil está em maus lençóis. A avaliação é do delegado José Mariano de Araújo Filho,  coordenador do Centro de Defesa Cibernética da Polícia de São Paulo, que há 15 anos se debruça sobre ameaças digitais.

“Nós estamos muito mal preparados para combater o cibercrime”, disse ele em um evento em São Paulo. “Não há nenhuma atuação conjunta. É cada um por si.”

A qualidade da polícia e da lei não são os únicos problemas. O delegado considera que falta articulação entre os órgãos de proteção, e há um distanciamento muito grande do mundo acadêmico, que poderia contribuir de maneira importante ao debate.

Dessa forma, cidadãos e empresas dependem de si mesmos para resolver os problemas. “Quando o estado não consegue fazer, a pessoa tem de se virar sozinha. O cidadão está bem desprotegido”, afirmou o delegado durante o Global Risk Meeting 2015, realizado em São Paulo nos dias 11 e 12 de setembro. “O profissional a ser procurado para resolver o problema não está dentro da administração pública. Isso é muito sério.”

Araújo filho considera que a lei que trata de crimes cibernéticos no Brasil é um “arremedo muito triste que coloca o Brasil na retaguarda dos países que procuram proteger os cidadãos desses crimes”.

Lei inaplicável
Os crimes de delitos informáticos foram tipificados pela lei número 12.737, que entrou em vigor em dezembro de 2012 e foi chamada de Lei Carolina Dieckmann. A atriz foi vítima de vazamentos de informações e fotos íntimas, abraçou a causa e assim acabou batizando informalmente a lei.

Mas Araújo Filho considera que a lei não está à altura da tarefa. Além de dizer que a legislação foi “muito mal alcunhada”, o delegado critica o conteúdo do texto. “Desprezamos o caminho trilhado com sucesso em outros países e fizemos uma lei que tem tópicos juridicamente inaplicáveis,” disse.

Segundo ele, a lei acaba atrapalhando ainda mais as investigações, que já são complicadas pela falta de capacitação dos policiais. “O policial  brasileiro não é preparado para fazer frente às ameaças cibernéticas, que exigem um conhecimento que não é só de natureza jurídica. É preciso ter conhecimento multidisciplinar“, afirmou. “Não é um profissional comum. Há necessidade de investir neste tipo de formação.”

A falta de articulação entre os órgãos responsáveis pelo combate ao crime e o distanciamento do setor acadêmico só agravam o problema, avalia ele.

Imagine uma empresa que vai trabalhar um arquivo de informações sigilosas com vários de seus clientes espalhados por lugares diferentes. Ao lançar o documento na rede, ela sofre 15 mil tentativas de ataque cibernético apenas na primeira hora de atividade.

Este exemplo, baseado em uma experiência real, mostra a dimensão da atividade criminosa que transforma os riscos cibernéticos em um dos principais problemas enfrentados hoje por empresas de todos os setores.

Na verdade, para o Fórum Econômico Mundial, trata-se atualmente de uma ameaça maior do que a representada por ataques terroristas, haja vista o impacto de larga escala que ela representa.

Escala que aumenta dia após dia. Até 2020, estima-se que 50 bilhões de dispositivos estarão conectados à internet. A lista inclui computadores, eletrodomésticos, automóveis e apetrechos de saúde (como marca-passos), entre outros.  A rigor, seriam 50 bilhões de possíveis alvos para os fraudadores.

Mesmo com esses números, as empresas ainda não estão levando o problema tão a sério quanto deveriam.  Pesquisas mostram que cerca de 33% das empresas participantes consideravam não haver sofrido nenhum incidente de ataque virtual nos 12 meses anteriores ao levantamento. De acordo com Fernando Carbone , diretor de segurança cibernética da Kroll no Brasil, este é o tipo de resposta que indica mais desconhecimento do problema do que inexistência de fato de ataques.

“Nossa avaliação é que essa resposta não reflete a realidade”, disse ele no Global Risk Meeting, realizado nos dias 11 e 12 de setembro em São Paulo. “Isso é muito preocupante.”

Números consolidados pela Kroll com base em pesquisas de empresas de tecnologia mostram que outros 13% das empresas dizem não saber se tiveram ou não algum tipo de incidente digital. Isso implica que quase a metade das empresas ignora em larga medida o tamanho da encrenca cibernética.

Linha de produção
A avaliação de especialistas reunidos no evento é que os hackers não poupam ninguém e têm à disposição aparelhos cada vez mais eficientes e baratos para trabalhar.

Cada vez mais eles independem de que a vítima caia no chamado fishing, abrindo e-mails “cavalo-de-troia” ou usando drives externos que abrem as portas para uma invasão digital.

Hoje, segundo o especialista da Kroll, aparelhos que custam US$ 50 permitem acesso a dados de smartphones sem que o usuário se dê conta, e robôs buscam automaticamente seus alvos na rede mundial.

Na chamada deep web, hackers oferecem serviços de ataque cibernético que garantem a devolução do pagamento caso a ação não dê o resultado esperado, além de elencar “serviços padrão” disponíveis, como o acesso aos dados de cartão de crédito ou a uma conta no e-Bay.

“Os ataques estão automatizados como se fossem um linha de produção”, disse Ricardo Tavares, diretor da consultoria Daryus.

Sistema de proteção
Dentro do contexto de intensa atividade criminosa, os sistemas de proteção e controle são peças fundamentais nas empresas, mas 100% de segurança não existe jamais, alertaram os especialistas.

Citando uma pesquisa realizada pela americana Cisco com empresas globais no ano passado, Carbone disse que as companhias demoram em média 200 dias para detectar a presença de um hacker em seu sistema — período em que ele pode trabalhar em paz.

“É como você tivesse uma pessoa morando na garagem da sua casa e não soubesse”, comparou.

Além disso, Carbone disse que apenas 1% da detecção de invasão cibernética é feita pelos controles internos das companhias, sendo que em 85% das vezes é um agente externo que expõe o problema.

Diante deste panorama, “o grande desafios das empresas é a prevenção”, disse Leandro Bissoli, especialista em direito digital do escritório PPP Advogados.

Para Carbone, a mitigação das ameaças cibernéticas passa ainda por implementar sistemas mais ágeis para detectar ataques, além de processos eficientes para reagir a eles e controles internos mais eficientes.

Alvos preferenciais
Segundo Tavares, o Brasil é atualmente o segundo maior gerador de crimes cibernéticos do mundo, tendo anualmente prejuízos de US$ 8 bilhões com fraudes digitais.

O especialista da Kroll diz que os alvos preferenciais são o setor financeiro e o de saúde. “Mas nenhuma indústria está imune ao risco cibernético”, afirmou.

O departamento financeiro é um alvo óbvio por lidar diretamente com dinheiro.  É também um dos setores nos quais os sistemas de proteção estão mais desenvolvidos. Ainda assim, “95% das perdas dos bancos decorrem de cibercrimes, segundo a Febraban”, disse Tavares.

Já o setor de saúde ganhou espaço no mundo do cibercrime principalmente porque lida com informações sensíveis e sigilosas. De acordo com Carbone, os criminosos digitais acessam essas informações e extorquem dinheiro das vítimas — que podem ser um laboratório ou hospital, por exemplo — para não divulgar as informações obtidas ilegalmente.

“No mercado negro, o registro médico de um paciente vale 50 vezes mais do que as informações do cartão de crédito”, contou o especialista da Daryus.

Problema interno
A miscelânea de ataques tem origem muitas vezes dentro da própria empresa.

De acordo com dados coletados internacionalmente pela consultoria PwC, 63% dos incidentes são causados por ex-colaboradores da companhia que é vítima da fraude, e cerca de 60% das empresas não têm controles adequados contra ataques digitais.

Para Bissoli, o elo mais fraco da cadeia de proteção — por mais sofisticados que sejam os sistemas de proteção — é mesmo o ser humano.

Isso contribui para que o ambiente a ser gerido seja cada vez mais complexo, envolvendo desde riscos trabalhistas (gerados, por exemplo, na forma como uma empresa demite um funcionário que tem acesso a informações confidenciais) até situações em que a companhia negocia com criminosos que tentam extrair dinheiro após acessar seus dados.

“As maiores ameaças são internas”, afirmou Tavares.

A Kroll deve divulgar ainda em setembro os resultados de uma pesquisa sobre tema feita com cerca de 200 empresas de médio e grande porte, brasileiras ou com sede no Brasil.

A ideia é averiguar o grau de exposição e maturidade com que elas estão tratando os cibercrimes.

A falta de normas sobre continuidade de negócios prejudica a gestão da área, segundo especialistas do setor bancário reunidos no Global Risk Meeting 2015, evento realizado em São Paulo nos dias 11 e 12 de setembro.

Para eles, é preciso detalhar as particularidades do setor, coisa que as normas existentes hoje não fazem. Algumas arranham o tema, dizem eles, como é o caso da BSI (British Standards Institution) 22301, da ISO 31000 e a Resolução 3380 do Banco Central. Mas eles consideram que isso é muito pouco.

A Resolução 3380, por exemplo, tem literalmente uma linha sobre continuidade de negócios, conta Alaor Oliveira, gerente de Continuidade de Negócios do HSBC Brasil, banco recém-adquirido pelo Bradesco.

Para os experts, seria necessário formatar normas técnicas específicas na Associação Brasileira de Normas Técnicas (ABNT) sobre continuidade de negócios.

O modelo a ser seguido é o já aplicado nos Estados Unidos, Europa e Japão, as referências na área. Os gestores, no entanto, alertam que é importante não simplesmente importar normas. É preciso respeitar as características do país.

“Seria uma coisa para beneficiar todo mundo, desde a panificadora até a grande empresa”, disse Oliveira.

Os especialistas acreditam que a normatização ajudaria a diminuir as resistências ao desenvolvimento da área encontradas entre as empresas brasileiras.  “A falta de normas dificulta até para justificar os investimentos necessários para a administração”, disse Fabiano Santos, gerente de Continuidade de Negócios do Banco do Brasil.

“[Sem normatização] não há um padrão a seguir quando os problemas acontecem”, complementou Oliveira.

Regra importada
Algumas instituições internacionais adotam as normas de seu país de origem. É o caso do Citibank, explicou Karin Panes, da área de Continuidade de Negócios do banco norte-americano. “Nós seguimos a regulamentação dos Estados Unidos e isso ajuda muito”, afirmou.

Segundo ela, a regulamentação contribui até mesmo para aumentar o engajamento da equipe aos processos de continuidade de negócios — um item importante, consideram os gestores da área, principalmente levando em conta que interrupção dos negócios pode afetar a empresa toda, mas nem todos os departamentos abraçam a causa de forma integral.

“Continuidade de negócios não é um processo a mais para o gestor de uma área específica”, afirmou Santos, do Banco do Brasil. “Ela tem de fazer parte do processo em si.” Ele conta que conseguiu o envolvimento de um setor do banco tornando claro para o gestor que um problema no projeto que estava sendo tocado por ele estava exposto a riscos que poderiam causam prejuízos de R$ 500 milhões. “A partir daí, o processo de proteção desses riscos e de continuidade fluiu muito bem.”

Trata-se, portanto, de mudar a cultura, dizem os gestores, o que implica também um trabalho com a alta direção, que muitas vezes ainda considera a aplicação de recursos em sistemas de continuidade de negócio como gasto, não como investimento.

Trabalho constante
Este tipo de trabalho precisa ser constante, destacou o gerente de Continuidade de Negócios do Itaú Unibanco, Gerson Di Mambro. “É preciso cada vez mais priorizar os processos de risco e reavaliá-los permanentemente, frente às mudanças que sempre ocorrem no cenário”, afirmou.

Apesar das dificuldades, o setor bancário é o mais avançado do país em sistemas de controle e continuidade de negócios, afirmou Jeferson D’Addario, sócio-diretor da Daryus, empresa que organiza o Global Risk Meeting .

“(Os bancos) estão muito à frente de seus clientes”, disse ele, que criticou setores ainda pouco preocupados com a implementação de sistemas que garantam que as atividades de uma empresa não serão interrompidas mesmo que eventos imprevistos aconteçam.

“Não entendo como ainda tem gente que não entende que o patrimônio e o legado de uma empresa podem acabar ou ser prejudicados por causa de um acidente”, disse D’Addario.

Lista de riscos
De acordo com Alexandre Guindani, gerente de Continuidade de Negócios da Caixa, o principal risco à de interrupção da atividade a que os bancos estão expostos hoje está relacionado às tecnologias da informação. Mas a lista de riscos é longa e inclui desde a crise hídrica até a ocorrência de greves.

“Os prejuízos variam de banco a banco e de evento a evento”, disse Guindani. “Mas qualquer interrupção de negócios no setor pode gerar milhões em prejuízo.”

Lembrando que não existe nenhum grande banco sem um departamento muito forte de informática, ele disse que a manutenção desta área demanda um trabalho intenso. “Ela sustenta o nosso negócio. Se parar por meia hora que seja, gera um transtorno muito grande”, afirmou. “Pode-se perder negócios ou clientes.”

Por conta disso, o setor é bastante atento aos problemas que podem decorrer de alguma interrupção. “Antigamente, as pessoas colocavam dinheiro no cofrinho, hoje está no celular,” exemplificou Guindani.

A segunda maior preocupação da área recai sobre os fornecedores de atividades como telecomunicações e vigilância das agências, que são fundamentais para funcionamento dos bancos. A queda de um link, por exemplo, pode parar uma mesa de operações do banco. E a lei proíbe a abertura de uma agência se seus vigilantes estiverem em greve.

Falta d’água
A crise hídrica, que atinge principalmente São Paulo, rendeu um trabalho de três meses para a comissão de continuidade dos negócios da Febraban (Federação Brasileira de Bancos), contou Guindani.

A comissão traçou estratégias de funcionamento das agências caso venha a ocorrer racionamento de água.

“Como atender a população, se não tenho água na agência? Provavelmente, o pessoal do sindicato [dos bancários] não vai deixar abrir”, afirmou.

“Nossa preocupação é essa: como eu fico 3 ou 4 dias sem água? Que agências manter abertas, quais fechar? Começamos a traçar cenários e planos de como lidar com isso.”